2022年3月31日，美国国会政府问责局（GAO）网站发布报告，题为《Cybersecurity: OMB Should Update Inspector General Reporting Guidance to Increase Rating Consistency and Precision》。报告要点如下：

我们审查了23个民用联邦机构实施2014年《联邦信息安全现代化法案》（FISMA）的情况。

在是否以及如何实施所需的安全计划上，各机构的情况好坏参半。例如，大多数报告称达到了检测和预防事件的目标。然而，监察长发现23个机构中只有7个在2020 财年制定了有效的安全计划。

我们还发现，为监察长审查提供的指南并不总是很清晰，导致效率评级不准确。我们的 两条建议解决了这个问题。

确保国家的赛博安全是我们《高风险清单》上的一个主题。

研究目的

自1997年以来，GAO已将信息安全指定为政府范围内的高风险领域。为了保护联邦信息和系统，FISMA 要求联邦机构制定、记载和实施信息安全计划。国会在FISMA中有一项规定，要求GAO定期报告各机构对该法案的执行情况。

GAO 在本报告中的目标是：（1）描述联邦机构实施赛博安全政策和实践的有效性报告，以及（2）评估联邦机构相关官员所认为的FISMA在提高机构信息系统安全方面的有效性程度。

为此，GAO 审查了23个民用首席财务官（CFO）法案机构的FISMA报告、机构报告的绩效数据、过去的GAO报告以及管理和预算办公室（OMB）文件和指南。GAO还采访了来自24个CFO法案机构（即23个民间CFO法案机构和国防部）、监察长诚信与效率委员会和OMB的机构官员。

主要发现

2020财年，联邦机构实施2014年FISMA规定要求的情况好坏参半。例如，越来越多的机构报告称达到了管理其软件资产安全性以及入侵检测和预防的目标。然而，监察长发现各机构在赛博安全实践方面的表现参差不齐。2020 财年，监察长确定23个1990年民用CFO法案机构中有7个拥有有效的信息安全计划。2017-2020财年，获得有效评级的机构百分比总体上保持一致，从22%到30%不等。

据所有24个CFO法案机构的官员称，FISMA及相关的报告流程使其机构能提高信息安全计划的有效性。具体而言，14 个机构的首席信息官和首席信息安全官表示，FISMA 在很大程度上提高了计划的有效性，而10个机构的官员表示，它在一定程度上提高了有效性。

根据FISMA的要求，OMB与其它组织合作为监察长提供有关开展和报告机构FISMA评估的指南。GAO发现该指南并不总是明晰的，导致监察长的应用情况不一致。此外，GAO 发现OMB“有效”和“无效”的整体监察长评级量表导致评级不准确，无法清楚地区分各机构实施赛博安全要求的不同程度。因此，监察长评级对赛博安全监督的用处可能较小。通过明确其未来的评级指南并改进其评级尺度，OMB可以帮助确保所作审查能提供更加一致的机构赛博安全绩效图景，使国会能够更好地了解机构的相关赛博安全风险。

GAO建议

GAO 提出两项建议，即OMB与其它机构协商，明确其对监察长的指南，并制定更精确的整体评级量表。OMB不同意我们的建议，表示他们希望在某种程度上为监察长提供调整其评审的灵活性。尽管如此，GAO 认为这些建议是有根据的，可以为机构的赛博安全绩效提供更加一致和准确的图景。heavy fuel engine